假设我们有一个名为 Users 的表,其中包含大量的应用程序数据字段。我们现在要添加登录信息(用户名/密码)。显然,User 和 LoginInformation 之间是一对一的关系。
从最佳实践的角度来看,最好是将此信息与应用程序数据混合,还是创建一个单独的表,其中用户 ID 作为主键,外键到用户表中?
从安全的角度来看,这两种解决方案是否更容易保护登录数据?
问问题
685 次
1 回答
1
理论上可以更好地保护单独的表,因为您可以限制其上的权限。但最后,在某些时候,您需要读取该数据才能登录。
尽管如此,这样做可能仍然是一个好主意。您可以更安全地授予每个应用程序或应用程序的每个部分对用户表的访问权限,并隐藏登录信息,以便只有您的特定部分可以使用不同的凭据验证登录。
之后,您甚至可以编写一个单独的应用程序(如 Web 服务)来为您进行身份验证。这样,常规应用程序根本无法访问登录信息。他们只是可以询问服务器用户是否经过身份验证。
长话短说:是的,分离登录信息确实增加了更好地保护该信息的可能性,并增加了灵活性方面的额外好处。
于 2013-08-04T12:16:41.637 回答